Донецкий техникум промышленной автоматики

У чому ризик роботи в застарілій операційній системі - Вадим Стеркиной

  1. [+] Сьогодні в програмі
  2. Чому в новітніх продуктах закривається менше вразливостей
  3. Чому Microsoft випускає оновлення безпеки для всіх продуктів в один день
  4. Як швидко з'являються експлойти
  5. Чи будуть з'являтися нові експлойти для Windows XP
  6. Так чи страшні експлойти операційної системи
  7. Чи варто встановлювати на Windows XP оновлення від версій Windows XP Embedded
  8. Як зміцнити захист старої ОС
  9. А мені наплювати на захист
  10. А у мене є антивірус
  11. А у мене є голова на плечах
  12. резюме
  13. Дискусія і опитування

Ви замислювалися, чому Microsoft випускає виправлення безпеки для всіх своїх ОС в один день? Бюлетень безпеки Microsoft від 13 травня 2014 року не містить латочок для Windows XP, але це зовсім не означає відсутності нових вразливостей в цій системі. Сьогодні я хочу обговорити ризики роботи в ОС після закінчення терміну її підтримки .

Ця запис продовжує літню серію статей про безпеку, початок якій поклав розповідь про бюлетені Microsoft . Оскільки я не пишу про XP, мало хто з постійних читачів працює вдома в цій системі. Припускаю, однак, що багато хто з вас все ще стикаються з нею у друзів і знайомих, а також за місцем роботи або навчання, тому що до сих пір її частка становить чверть ОС Windows .

[+] Сьогодні в програмі

Чому старі захисні механізми не є панацеєю

Чому старі захисні механізми не є панацеєю

З плином часу корисність старих захисних механізмів знижується, але не тому, що вони стають менш ефективні самі по собі. Справа в тому, що зловмисники вчаться обходити їх, адаптуючись до умов, в яких ці механізми працюють. Хорошим прикладом цієї тези служить DEP (Data Execution Prevention), опис якого простими словами поки ще є в довідці Windows.

Хорошим прикладом цієї тези служить DEP (Data Execution Prevention),   опис якого простими словами   поки ще є в довідці Windows

На діаграмі вище синім кольором позначені уразливості, для яких були випущені експлойти, чиє дію звелося б нанівець включеним DEP. Зеленим кольором позначені уразливості, експлуатації яких DEP перешкодити не зміг.

Ці дані Microsoft показують, що починаючи з 2009 року, все більше і більше вразливостей експлуатується в обхід DEP. Компанія також спостерігає схожий тренд з механізмом ASLR, який обходиться за рахунок атак на ресурси, не сховалися під його парасолькою.

Чому в новітніх продуктах закривається менше вразливостей

Чому в новітніх продуктах закривається менше вразливостей

Минулого разу я показав , Що за останні 12 місяців в новітніх клієнтських операційних системах Microsoft була закрита значно менше вразливостей, ніж у попередніх. Звичайно, нові ОС менше поширені, а тому не представляють настільки гострого інтересу для зловмисників.

Однак Microsoft безумовно підсилює захист, беручи до уваги напрямки атак на свої продукти, що ускладнює експлуатацію вад в безпеці.

Компанія класифікує уразливості за типом експлуатації, і на діаграмі нижче представлено розподіл цих класів в клієнтських ОС, для яких були випущені експлойти з 2006 по 2012 роки.

Компанія класифікує уразливості за типом експлуатації, і на діаграмі нижче представлено розподіл цих класів в клієнтських ОС, для яких були випущені експлойти з 2006 по 2012 роки

Тут добре видно, що увага зловмисників зміщується в бік експлуатацій вразливостей двох класів:

  • Use after free. Уразливість експлуатується, коли до об'єкта відбувається звернення після його звільнення. Зловмисники використовують такі уразливості, щоб змусити програми використовувати свої значення, домагатися падіння програм або віддаленого виконання коду. Саме цей клас найчастіше експлуатується в атаках на Internet Explorer. У Windows 8 на боротьбу з цим відряджені технологія Virtual Table Guard.
  • Heap Corruption. Уразливість експлуатується шляхом пошкодження стану даних додатках, які зберігаються в його купі (heap). Нерідко це досягається шляхом переповнення буфера купи, що потім дозволяє взяти під контроль роботу програми. У Windows 8 для протидії таким атакам передбачений механізм Heap Hardening.

Цілком очевидно, що нові захисні заходи є наслідком гонки озброєнь між виробниками ПО і зловмисниками.

Використання найсучаснішої ОС в першу чергу знижує ризик експлуатації вразливостей Zero Day, про які компанії поки невідомо, або вона ще не встигла випустити виправлення системи безпеки.

Підтвердження цій тезі ви побачите далі. Якщо ж порівнювати захисні механізми Windows XP і Windows 8, то вийде ось така картина , яку детально розібрав Руслан Карманов .

Чому Microsoft випускає оновлення безпеки для всіх продуктів в один день

Чому Microsoft випускає оновлення безпеки для всіх продуктів в один день

Нерідко один бюлетень зачіпає всі продукти лінійки, випущені в різні роки (наприклад, від Windows XP до Windows 8). Зрозуміло, що підготовка виправлення і його тестування на різних продуктах можуть займати різний час, але бюлетені і заплатки виходять строго в один день.

Тим самим Microsoft нівелює ефект від зворотного розробки виправлень, яка неминуче починається після їх виходу в світ.

Іншими словами, якщо випускати, наприклад, виправлення для Windows 7 через місяць після латочок для Windows 8, то до цього моменту експлойт для вразливостей Windows 7 з XI = 1 вже буде давно готовий.

У Microsoft є статистика по уязвимостям, що дозволяє віддалене виконання коду (RCE). На діаграмі нижче розклад появи експлойтів до таких уязвимостям в різних продуктах Microsoft щодо часу виходу виправлення безпеки.

Зверніть увагу на два моменти:

  1. Кількість вразливостей Zero Day (цілісний колір на діаграмі). Це прозорий натяк на те, додатковий захист не завадить, а найбільш ефективна вона в новітньому ПО.
  2. Зростання числа експлойтів після виходу оновлення в останні роки. Тут проглядається вплив зворотного розробки оновлень, тому встановлювати їх потрібно якомога швидше.

Як швидко з'являються експлойти

Як швидко з'являються експлойти

У Microsoft є трохи свіжіші дані за тими ж уязвимостям RCE, звідки можна витягти додаткові відомості про швидкість появи експлойтів. Червоний колір на діаграмі нижче позначає уразливості Zero Day з відомими експлойта, а помаранчевий - експлойти, що з'явилися протягом 30 днів після виходу виправлення безпеки. З малюнка видно, що якщо експлойт з'являється на світ, то в переважній більшості випадків це відбувається в межах місяця після виходу бюлетеня безпеки (червоний і оранжевий кольори в сукупності).

З малюнка видно, що якщо експлойт з'являється на світ, то в переважній більшості випадків це відбувається в межах місяця після виходу бюлетеня безпеки (червоний і оранжевий кольори в сукупності)

Опитування в попередній статті показали, що серед читачів блогу автоматично встановлюють поновлення 46% власників Windows 8.1 і лише 30% користувачів Windows 7. Решта вичікують і вибирають ....

Якщо ви не встановили виправлення протягом місяця після його виходу, з великою ймовірністю вже існує шкідливий код, що дозволяє проексплуатувати вразливість у вашій ОС.

Виходячи зі свого досвіду, можуть сказати, що ручний контроль над процесом навіть в разі використання Windows Update веде до затримок з установкою оновлень. Система-то вчасно показує повідомлення про свіжих оновленнях, але мало хто відразу ж підривається їх встановлювати ...

Чи будуть з'являтися нові експлойти для Windows XP

Чи будуть з'являтися нові експлойти для Windows XP

Обов'язково! Оскільки Windows XP більше не буде фігурувати в бюлетенях безпеки, ми вже не почуємо з вуст Microsoft, схильна до чи система тієї чи іншої уразливості. Однак можна побічно оцінити цей аспект. Нагадаю, що за останні 12 місяців Windows XP відзначилася в 45 бюлетенях, а Windows 7 і 8 / 8.1 в 46.

Windows XP фігурувала в одному бюлетені з Windows 7 і / або Windows 8 / 8.1 в 38 випадках!

Ці дані свідчать про те, що більшість вразливостей ОС Windows виявляється в коді, успадкованому з попередніх ОС. Так, Windows 7 і Windows 8 / 8.1 одночасно присутні в одному бюлетені в 44 випадках з 46.

У випадку ж з конкретними виправленнями безпеки можна дуже легко і з мінімальною похибкою визначити, схильна до чи Windows XP тієї або іншої уразливості.

  1. Відкрийте бюлетень безпеки (наприклад, MS14-027 ).
  2. Розкрийте вузол «Піддані і не схильні до вразливості». Під кожною посиланням є семизначний номер статті в базі знань (в цьому прикладі - 2926765).
  3. Відкрийте IE, перейдіть в каталог центру оновлень Windows і виконайте пошук по номеру статті бази знань.

Якщо в списку продуктів присутня Windows XP Embedded, ймовірність уразливості в Windows XP буде близька до 100% зважаючи на загальне коду цих ОС.

Я думаю, що зараз XP є привабливою мішенню для атак - призначена для користувача база ще дуже велика, офіційно поновлення вже не випускаються, а виявлені вразливості допоможе проексплуатувати зворотна розробка оновлень.

Так чи страшні експлойти операційної системи

Не варто переоцінювати значення вразливостей в операційних системах для зловмисників. Так, експлойти ОС включаються в набори для атаки (це фактично тіньовий платне ПО), але превалюють в них атаки на уразливості Java. Фахівці Microsoft проаналізували дані з стороннього джерела Contagio Exploit Pack Table і звели їх в діаграму.

У Microsoft є і свої дані, що укладаються в цей тренд, а я вже давно раджу читачам блогу вчасно оновлювати сторонні програми, а Java не ставити без виробничої необхідності . За даними Лабораторії Касперського, у 2013 році серед експлойтів, заблокованих продуктами компанії на всіх пристроях, 90% були націлені на уразливості Java .

Фахівці ЛК стверджують в своєму звіті стосовно атакам через Інтернет:

Основний спосіб атаки - через експлоїт-паки - дає зловмисникам практично гарантовану можливість зараження комп'ютерів, якщо на них не встановлений захист і є хоча б одне популярне і вразливе (застарілими) додаток.

Зверніть увагу, що за даними ЛК, відсоток експлойтів для ОС Windows і її компонентів зовсім не нульовий, а якщо відкинути Java, Windows лідирує в якості мети для атак. Це означає, що тільки установка оновлень для програми або ОС гарантує конструктивне усунення вразливості і захист від її експлуатації.

Чи варто встановлювати на Windows XP оновлення від версій Windows XP Embedded

Чи варто встановлювати на Windows XP оновлення від версій Windows XP Embedded

Нещодавно Інтернет захлеснула хвиля повідомлень про просте твіки реєстру , Що дозволяє встановлювати на Windows XP виправлення системи безпеки від різних версій Windows XP Embedded. Відповідно, питання на цю тему виникли в коментарях і поштою.

Тут є два аспекти - ліцензійний і технічний. З першим все зрозуміло - ліцензія такого не дозволяє, але це мало хвилює домашніх користувачів, що сидять на збірках XP. З технічної точки зору загальний код XP і версій Embedded дійсно дозволяє встановити виправлення і, напевно, навіть закрити вразливість.

Але треба враховувати, що виправлення не перевірялися на XP. Microsoft могла тестувати аналогічні виправлення для XP, які вона поширює для корпоративних клієнтів, які заплатили за додаткову підтримку. Але, звичайно, обговорюваний сценарій не перевірявся, тому що-небудь може піти не так, і ви дієте виключно на свій страх ризик.

Я давно і послідовно дотримуюся принципу, що для безпечної і стабільної роботи потрібно діяти відповідно до рекомендацій виробника ПО, а не всупереч їм.

Тому я не можу порадити вам такий підхід. Обравши його, ви все одно будете захищені гірше, ніж на Windows 7 або Windows 8.1.

Як зміцнити захист старої ОС

Навіть якщо ви встановлюєте усі оновлення, при використанні старих програмних продуктів дуже корисно не обмежуватися мінімальним рівнем кожуха. Далі я розберу кілька типових заяви на тему захисту ПК.

А мені наплювати на захист

А мені наплювати на захист

Василь Гусєв недавно розповідав, як під час поїздки в таксі не зміг переконати водія в необхідності мати антивірус. У того на все була готова відповідь: цінних даних у мене немає, вінду простіше переставити, а мої друзі не дурні - самі розпізнають підозрілі посилання або вкладення в моїх листах. Перспектива стати частиною ботнету його теж не бентежила.

Я впевнений, що логічно переконати таку людину неможливо, але я б запропонував аналогію в зрозумілій йому площині - плюєш на ПДР, їздиш як баран і пишаєшся цим :) До речі, про антивірус.

А у мене є антивірус

А у мене є антивірус

І це правильно! Але потрібно розуміти, що антивіруси взагалі не гарантують 100% захист від шкідливих програм, а про нові загрози дізнаються з затримкою . Крім того, безкоштовні антивіруси, які працюють на стороні клієнта, забезпечують мінімальний рівень захисту, включаючись в справу вже після того, як «зловредів» проник на ПК.

В умовах недостатнього захисту ОС потрібно застосовувати більш широкий арсенал засобів для боротьби зі шкідливими програмами, особливо поширюваними через Інтернет. В ідеалі їх завантаження і запуск повинні блокуватися ще до спрацьовування резидентного антивіруса.

За це у Microsoft відповідає фільтр Smart Screen . В Internet Explorer він використовує поєднання бази шкідливих посилань і репутації файлів , А в Windows 8 здатний перешкоджати запуску виконуваних файлів, завантажених в будь-яких браузерах. У ЛК теж приділяють велику увагу розвитку веб-антивіруса, що спирається на можливості Kaspersky Security Network. У 2010 році з його допомогою блокувалося 60% розповсюджуваних через Інтернет «зловредів», в 2012 - 87%, а в 2013 році вже 93%.

Мораль в тому, що недостатній захист системи потрібно підсилювати не безкоштовним антивірусом, а комплексним захисним рішенням, яке за допомогою хмарних технологій блокує експлойти ще до їх запуску.

А у мене є голова на плечах

А у мене є голова на плечах

Взагалі, голова служить для різних цілей - наприклад, деякі їй просто їдять. Звичайно, автори таких заяв мають на увазі, що вони досить досвідчені, щоб уникнути компрометації системи і особистих даних. Нерідко такі висловлювання можна почути від людей, не користуються антивірусом .

Я вважаю, що якщо у людини є голова на плечах, то він повинен розуміти слабкість захисту застарілої системи, тобто вживати адекватних заходів для її посилення або переходити на більш захищену ОС.

Наприклад, голову варто прикласти до налаштування SRP або установці EMET (Для XP - EMET 4.1). SRP виключає запуск забороненого коду, але треба розбиратися в налаштуванні. EMET значно підвищує планку захисту ОС і навіть володіє графічним інтерфейсом.

Спеціальний випуск: Про роль головного мозку в захисті операційної системи

резюме

На закінчення я хочу повторити деякі тези цієї статті:

  • зловмисники навчилися обходити старі захисні механізми
  • до багатьох уязвимостям експлойти виходять протягом місяця після випуску виправлень, чому сприяє їх зворотна розробка
  • нові експлойти для XP обов'язково будуть включатися в набори для атаки
  • захищати стару систему потрібно не безкоштовним антивірусом, а як мінімум комплексним захисним рішенням (ще краще - SRP або EMET)

У нових ОС закривається менше вразливостей, тому що їх захисні механізми удосконалюються з урахуванням напрямків атак. Я завжди користуюся новітніми програмними продуктами Microsoft, в тому числі і тому, що вважаю це більш безпечною практикою. Однак будь-яку ОС і все популярне ПО необхідно оновлювати максимально швидко. У мене включено автоматичне оновлення Windows, а Java і Adobe Reader я не встановлюю, щоб зменшити поверхню атаки.

При підготовці статті я використовував цю літературу:

Дискусія і опитування

Мій останній досвід роботи в XP два роки тому закінчився публікацією запису 10 причин, за якими я не можу працювати в Windows XP і одним з найжорсткіших холіваров в блозі, а вже оцінки коментарів особливо доставляють :) З тих пір я живу XP бачив лише кілька разів, але думаю, що багато хто з вас стикаються з нею частіше, хоча в якості основної домашньої ОС використовують одиниці (вміст блогу визначає його аудиторію).

Розкажіть в коментарях, де ви стикалися з XP в останній місяць, і які заходи вживаються там для її захисту після закінчення терміну підтримки. В опитуванні можна вибирати кілька варіантів відповіді, але останній не поєднується з іншими.

Результати голосування загублені в зв'язку з припиненням роботи веб-сервісу опитувань.

Обговорення завершено.